Поскольку вы не можете доверять чему-либо на веб-хосте (возможно, на нем установлен rootkit ), самый безопасный подход - восстановить новый веб-сервер с нуля;не забудьте обновить все внешнее программное обеспечение до , подключив его к сети .Выполняйте все обновления на счастливой стороне драконовского брандмауэра.
Когда вы перестраиваете систему, обязательно обратите особое внимание на правильную конфигурацию.Если веб-контент принадлежит другому пользователю Unix, нежели ID пользователя веб-сервера , а права доступа к файлам настроены на запрет записи, то веб-сервер не может изменять программные файлы.
Настройте учетную запись пользователя Unix вашего веб-сервера таким образом, чтобы он имел доступ на запись только к своим файлам журнала и сокетам базы данных, если они находятся в файловой системе.Взломанный веб-сервер все еще может обслуживать взломанные страницы для клиентов, но перезапуск «отменяет» «живой взлом».Конечно, содержимое вашей базы данных может быть отправлено на Yakuza или испорчено людьми, которые считают, что ваши данные должны включать изображения единорогов. Принцип наименьших привилегий будет хорошим ориентиром - что именно вашему веб-серверу требуется для доступа для выполнения своей работы?Предоставьте только это.
Также рассмотрите возможность развертывания системы обязательного контроля доступа , такой как AppArmor , SELinux , TOMOYO ,или SMACK .Любая из этих систем, правильно настроенная, может контролировать объем того, что может быть повреждено или утечка при взломе системы.(Я работал над AppArmor в течение десяти лет, и я уверен, что большинство системных администраторов могут узнать, как развернуть работоспособную политику безопасности на своих системах за один или два дня обучения. Ни один инструмент не применим ко всем ситуациям, поэтому будьте уверены,чтобы прочитать обо всех ваших вариантах.)
Во второй раз убедитесь, что ваша конфигурация управляется с помощью таких инструментов, как puppet , chef илисамое меньшее в системе контроля версий .
Обновление
Что-то еще, немного не связанное с возвращением в сеть, но потенциально образовательное всеТо же самое: сохранить жесткий диск из скомпрометированной системы, чтобы вы могли смонтировать его и проверить его содержимое из другой системы.Может быть, есть что-то, чему можно научиться, проводя экспертизу скомпрометированных данных: вы можете обнаружить, что компромисс произошел несколькими месяцами ранее и был связан с кражей паролей или ключей ssh.Вы можете найти руткит или инструменты для дальнейшего использования.Вы можете найти информацию, чтобы показать источник атаки - возможно, администратор , который сайт еще не осознает, что он был взломан.
Будьте осторожны при проверке взломанных данных - то, что .jpg вы не узнаете, вполне может быть тем взломом, который взломал систему в первую очередь, и просмотр ее в «заведомо исправной» системе также может ее взломать.Выполняйте работу с жестким диском, который вы можете отформатировать, когда закончите.(Виртуализированный или с обязательной системой контроля доступа может быть достаточно, чтобы ограничить «пассивные» хаки на основе данных, но нет ничего лучше, чем одноразовые системы для душевного спокойствия.)